Seguir 
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumo
O relatório examina o Deep#Door, um backdoor furtivo baseado em Python entregue através de um carregador em lote ofuscado que incorpora e reconstrói sua carga maliciosa em tempo de execução. O malware utiliza um serviço público de tunelamento TCP para comando e controle, configura vários mecanismos de persistência, enfraquece os controles de segurança do Windows, e suporta ampla atividade de vigilância e roubo de credenciais. Ele também realiza verificações de ambiente detalhadas para evadir sandboxes e analistas, enquanto se baseia em patching de API na memória para se manter oculto durante a execução.
Investigação
Os pesquisadores da Securonix mapearam toda a cadeia de infecção desde o script em lote inicial até a extração, reconstrução e execução da carga final do RAT em Python. Sua análise identificou o abuso de bore.pub para tunelamento, portas geradas dinamicamente e uma sequência de autenticação personalizada usada para acesso do operador. O relatório também detalhou os métodos de evasão de defesa do malware, técnicas de persistência, rotinas de descoberta do sistema e comportamento de exfiltração de dados.
Mitigação
Os defensores devem monitorar de perto a execução de scripts, habilitar o registro do PowerShell, detectar alterações não autorizadas nas configurações do Microsoft Defender e do firewall, e auditar entradas de inicialização, chaves Run e locais de persistência relacionados. O monitoramento de rede também deve se concentrar em conexões de saída para bore.pub e atividade incomum em portas altas. Ferramentas de EDR capazes de detectar patching de API e adulteração na memória podem ainda melhorar a visibilidade dessa ameaça.
Resposta
Se a atividade do Deep#Door for detectada, isole o endpoint afetado imediatamente, encerre o processo malicioso em Python, remova todos os mecanismos de persistência, incluindo scripts de inicialização, chaves Run e assinaturas WMI, e restaure as configurações modificadas do Defender e de registro. As equipes de segurança também devem realizar análises de memória e forenses para identificar implantes ocultos e avaliar a exposição ao roubo de credenciais enquanto bloqueiam a comunicação de rede para bore.pub.
"graph TB %% Class Definitions Section classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef malware fill:#ff9999 classDef process fill:#ccccff %% Nodes Definitions action_user_execution["<b>Ação</b> – <b>T1204 Execução do Usuário</b>: A vítima executa arquivo de lote malicioso install_obf.bat"] class action_user_execution action tool_batch_file["<b>Ferramenta</b> – <b>Nome</b>: install_obf.bat<br/><b>Descrição</b>: Script em lote que inicia o carregador"] class tool_batch_file tool action_obfuscation["<b>Ação</b> – <b>T1027 Arquivos ou Informações Ofuscados</b>: Extrai carga útil Python codificada em base64/XOR (svc.py) via regex autoreferenciada no PowerShell"] class action_obfuscation action tool_powershell["<b>Ferramenta</b> – <b>Nome</b>: PowerShell<br/><b>Descrição</b>: Usado para analisar o arquivo em lote e decodificar a carga incorporada"] class tool_powershell tool tool_python["<b>Ferramenta</b> – <b>Nome</b>: Python<br/><b>Descrição</b>: Executa a carga útil svc.py decodificada"] class tool_python tool action_defense_evasion_disable["<b>Ação</b> – <b>T1562.001 Desativar ou Modificar Ferramentas</b> / <b>T1562.004 Desativar ou Modificar Firewall do Sistema</b> / <b>T1562.008 Desativar ou Modificar Logs de Nuvem</b>: Desativa Windows Defender, registro do PowerShell, SmartScreen e registro do firewall"] class action_defense_evasion_disable action tool_setmp["<b>Ferramenta</b> – <b>Nome</b>: Set-MpPreference<br/><b>Descrição</b>: Cmdlet do PowerShell para alterar configurações do Defender"] class tool_setmp tool tool_netsh["<b>Ferramenta</b> – <b>Nome</b>: netsh advfirewall<br/><b>Descrição</b>: Modifica regras do firewall do Windows e registro"] class tool_netsh tool action_indicator_removal["<b>Ação</b> – <b>T1070.001 Limpar Logs de Eventos do Windows</b> e <b>T1070.006 Timestomp</b>: Interrompe e limpa serviços EventLog/Sysmon e altera carimbos de data e hora de arquivos"] class action_indicator_removal action action_persistence_runkey["<b>Ação</b> – <b>T1547.001 Chaves de Execução / Pasta de Inicialização</b> e <b>T1053 Tarefa/Trabalho Agendado</b>: Descarrega SystemServices.vbs na pasta de Inicialização, cria chave Run e uma tarefa agendada como fallback"] class action_persistence_runkey action tool_vbs_startup["<b>Ferramenta</b> – <b>Nome</b>: SystemServices.vbs<br/><b>Descrição</b>: Script VBS colocado em %APPDATA%MicrosoftWindowsStart MenuProgramsStartup"] class tool_vbs_startup tool action_credential_access["<b>Ação</b> – <b>T1003 Dumping de Credenciais do SO</b>, <b>T1552.004 Chaves Privadas</b>, <b>T1552.001 Credenciais em Arquivos</b>, <b>T1555 Armazenamento de Senhas</b>, <b>T1555.005 Gerenciadores de Senhas</b>: Recolhe senhas de navegadores, Gerenciador de Credenciais do Windows, chaves SSH, tokens de nuvem"] class action_credential_access action action_collection["<b>Ação</b> – <b>T1056.001 Keylogging</b>, <b>T1113 Captura de Tela</b>, <b>T1125 Captura de Vídeo</b>, <b>T1123 Captura de Áudio</b>, <b>T1115 Dados da Área de Transferência</b>: Captura pressionamentos de tecla, capturas de tela, vídeo de webcam, áudio de microfone e área de transferência"] class action_collection action action_discovery["<b>Ação</b> – <b>T1082 Descoberta de Informações do Sistema</b>, <b>T1518 Descoberta de Software</b>, <b>T1057 Descoberta de Processos</b>, <b>T1046 Descoberta de Serviços de Rede</b>, <b>T1018 Descoberta de Sistema Remoto</b>, <b>T1526 Descoberta de Serviços em Nuvem</b>: Coleta dados de configuração de SO, hardware, software, processo, rede e nuvem"] class action_discovery action action_defense_evasion_reflective["<b>Ação</b> – <b>T1620 Carregamento de Código Refletivo</b> e <b>T1497.003 Evasão de Virtualização/Sandbox: Baseada em Tempo</b>: Detecta depuradores, máquinas virtuais e características de sandbox e aborta execução"] class action_defense_evasion_reflective action action_c2_tunneling["<b>Ação</b> – <b>T1572 Tunelamento de Protocolo</b>: Estabelece túnel criptografado via serviço público bore.pub, realiza varredura de portas dinâmicas e autenticação desafio-resposta"] class action_c2_tunneling action action_exfiltration["<b>Ação</b> – <b>T1041 Exfiltração Sobre Canal C2</b> e <b>T1048.002 Exfiltração Sobre Protocolo Alternativo: Criptografado Assimétrico Não C2</b>: Envia dados recolhidos através do canal tunelado"] class action_exfiltration action action_impact_forkbomb["<b>Ação</b> – <b>T1499.002 Ataque de Esgotamento de Serviço</b>: Executa uma fork bomb para consumir recursos do sistema"] class action_impact_forkbomb action %% Connections showing attack flow action_user_execution –>|executa| tool_batch_file tool_batch_file –>|contém| action_obfuscation action_obfuscation –>|usa| tool_powershell tool_powershell –>|decodifica e inicia| tool_python tool_python –>|executa| action_defense_evasion_disable action_defense_evasion_disable –>|usa| tool_setmp action_defense_evasion_disable –>|usa| tool_netsh action_defense_evasion_disable –>|leva a| action_indicator_removal action_indicator_removal –>|precede| action_persistence_runkey action_persistence_runkey –>|descarrega| tool_vbs_startup action_persistence_runkey –>|permite| action_credential_access action_credential_access –>|permite| action_collection action_collection –>|alimenta dados para| action_discovery action_discovery –>|suporta| action_defense_evasion_reflective action_defense_evasion_reflective –>|estabelece| action_c2_tunneling action_c2_tunneling –>|carrega| action_exfiltration action_exfiltration –>|aciona| action_impact_forkbomb "
Fluxo de Ataque
Detecções
Possíveis Pontos de Persistência [ASEPs – Software/Colmeia NTUSER] (via registry_event)
Visualizar
Strings Suspeitas do Powershell (via cmdline)
Visualizar
Chamar Classes/Métodos Suspeitos do .NET da Linha de Comando do Powershell (via process_creation)
Visualizar
Possível Descoberta de Sistema Remoto ou Verificação de Conectividade (via cmdline)
Visualizar
Possível Enumeração ou Manipulação de Conta ou Grupo (via cmdline)
Visualizar
Possível Uso de Timeout para Atrasar Execução (via cmdline)
Visualizar
LOLBAS WScript / CScript (via process_creation)
Visualizar
Desabilitar Monitoramento em Tempo Real do Windows Defender e Outras Alterações de Preferências (via cmdline)
Visualizar
Strings Suspeitas do Powershell (via powershell)
Visualizar
Alterações Suspeitas nas Preferências do Windows Defender (via powershell)
Visualizar
Binários/Scripts Suspeitos em Local de Autoinicialização (via file_event)
Visualizar
IOCs (HashSha256) para detectar: Deep#Door Stealer: Backdoor Python Furtivo e Ladrão de Credenciais que Utiliza Tunelamento, Persistência Multicamada e Capacidades de Vigilância na Memória
Visualizar
Detectar Comunicação C2 via Serviço Público de Tunelamento TCP [Conexão de Rede do Windows]
Visualizar
Comando PowerShell para Extração de Carga Útil Python Incorporada [Windows Powershell]
Visualizar
Detecção de Implantação do Backdoor Python Furtivo Deep#Door [Criação de Processo do Windows]
Visualizar
Detecção do Uso do Serviço de Tunelamento TCP Bore.pub para Comunicações C2 [Conexão de Rede do Windows]
Visualizar
Monitoramento em Tempo Real e de Comportamento do Windows Defender Desabilitado [Windows Powershell]
Visualizar
Execução de Script em Lote Ofuscado do Deep#Door [Criação de Processo do Windows]
Visualizar
Comando PowerShell Desabilitando Recursos do Windows Defender [Windows Powershell]
Visualizar
Detecção de Execução do Backdoor Python Furtivo Deep#Door [Criação de Processo do Windows]
Visualizar
Detecção de Comunicação C2 Ocultada via bore.pub [Conexão de Rede do Windows]
Visualizar
Detecção do Ladrão Deep#Door Usando Powershell e Manipulação de Firewall [Windows Powershell]
Visualizar
Execução da Simulação
Pré-requisito: A Verificação Pré-ânima de Telemetria e Linha de Base deve ter passado.
Justificativa: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e narrativas DEVEM refletir diretamente os TTPs identificados e visam gerar a telemetria exata esperada pela lógica de detecção.
-
Narrativa do Ataque e Comandos:
Um atacante que obteve uma base de baixa privilégio no host Windows deseja estabelecer um canal C2 furtivo usando o
bore.pubserviço de tunelamento empregado pelo Deep#Door. Para misturar-se com o tráfego legítimo, o atacante seleciona uma porta do intervalo de 41.234 a 41.243 (escolhido pelo malware) e usa a classeSystem.Net.Sockets.TcpClientdo PowerShell para abrir uma conexão TCP bruta. A conexão é mantida ociosa por um curto período para simular um mecanismo de pulsação antes de transmitir um pequeno sinal codificado em base64. -
Script de Teste de Regressão:
# Simular sinal C2 Deep#Door para bore.pub em uma porta aleatória dentro do intervalo monitorado $domain = 'bore.pub' $port = Get-Random -Minimum 41234 -Maximum 41244 # Limite superior é exclusivo try { Write-Host "Conectando-se a $domain:$port ..." $client = New-Object System.Net.Sockets.TcpClient $client.Connect($domain, $port) $stream = $client.GetStream() # Carga útil mínima de sinal (por exemplo, um "ping" codificado em base64) $payload = [System.Text.Encoding]::ASCII.GetBytes('cGlja2V0') $stream.Write($payload,0,$payload.Length) Write-Host "Sinal enviado. Mantendo conexão por 5 segundos..." Start-Sleep -Seconds 5 } catch { Write-Error "Falha na conexão: $_" } finally { if ($stream) { $stream.Close() } if ($client) { $client.Close() } Write-Host "Conexão encerrada." } -
Comandos de Limpeza:
# Sem artefatos persistentes; garantir que não haja conexões TCP remanescentes Get-NetTCPConnection -RemotePort 41234-41243 -State Established | ForEach-Object { Stop-Process -Id $_.OwningProcess -Force } Write-Host "Limpeza completa."
Fim do Relatório